Las pérdidas de seguridad de API ascienden a miles de millones, pero es complicado



Las empresas estadounidenses enfrentan pérdidas combinadas de $12 mil millones a $23 mil millones en 2022 por compromisos vinculados a las interfaces de programación de aplicaciones (API) web, que han proliferado con la mayor adopción de servicios en la nube y metodologías de desarrollo de estilo DevOps, según un análisis de datos de brecha. .

En la última década, la seguridad de las API ha crecido hasta convertirse en un importante problema de ciberseguridad. Reconociendo esto, Open up Website Protection Software Undertaking (OWASP) publicó una lista de los 10 principales problemas de seguridad de API en 2019, señalando las principales debilidades de API, como autorización rota para objetos, autenticación de usuario débil y exposición excesiva de datos, como problemas críticos para fabricantes de software package y empresas que dependen de los servicios en la nube.

Según el informe Quantifying the Cost of API Insecurity de esta semana, publicado la semana pasada por la firma de seguridad de aplicaciones Imperva y la firma de estrategia de riesgo Marsh McLennan, es probable que los problemas de seguridad crezcan a medida que las API continúan convirtiéndose en un patrón común para la nube y la infraestructura móvil. .

«Los crecientes riesgos de seguridad asociados con las API se correlacionan con la proliferación de las API», dice Lebin Cheng, vicepresidente de seguridad de API de Imperva. «El volumen de las API utilizadas por las empresas está creciendo rápidamente: casi la mitad de todas las empresas tienen entre 50 y 500 implementadas, ya sea interna o públicamente, mientras que algunas tienen más de mil API activas».

Curiosamente, las pérdidas comerciales tienen menos que ver con problemas específicos de API, encontró el análisis. Más bien, la recuperación de brechas y la interrupción de las operaciones representan la mayoría de las pérdidas cibernéticas. Solo un pequeño subconjunto de empresas en cualquier país sufrió pérdidas directamente relacionadas con las vulnerabilidades de API, según el informe.

Las pérdidas de API varían según el segmento comercial

los Datos de Marsh McLennan proviene de infracciones informadas, que representan un subconjunto de todos los negocios. Descubrió que al profundizar en los datos, se pueden extraer diferencias importantes entre el impacto.

Por ejemplo, ciertos tipos de empresas (empresas más grandes en TI y servicios profesionales, por ejemplo) tienen muchas más probabilidades de enfrentar incidentes de seguridad relacionados con API que otras (empresas más pequeñas, digamos, en el sector financiero).

«Los 12.000 millones de dólares no se distribuyen entre millones de empresas», dijo un portavoz de Marsh McLennan. «La cantidad de empresas violadas, especialmente debido a la inseguridad de la API, es considerablemente menor».

Las pequeñas empresas enfrentan la mayor cantidad absoluta de eventos de seguridad de API, y la mayoría de los incidentes afectan a empresas con menos de $ 50 millones en ingresos. Sin embargo, los incidentes relacionados con API solo representaron alrededor del 5 % del número overall de incidentes de seguridad. Por el contrario, las grandes empresas con más de $ 50 mil millones en ingresos tienen un riesgo mucho mayor de infracciones relacionadas con las API, con al menos el 20% de sus eventos de seguridad relacionados con las API.

Hasta cierto punto, el mayor riesgo para las grandes empresas se debe al crecimiento del área de superficie de ataque causada por las API, pero las empresas más grandes también son objetivos más atractivos, dice Cheng de Imperva.

«La proliferación de API, combinada con la falta de visibilidad de estos ecosistemas, crea oportunidades para la fuga de datos masiva y costosa», dice. «Estos son problemas que aumentan con el tamaño de una organización. Las organizaciones más grandes tienen más API en producción y la visibilidad limitada deja a una mayor cantidad de API vulnerables. Esto hace que las empresas sean un objetivo atractivo».

De manera identical, las empresas en Asia tuvieron un poco más de 100 eventos de seguridad de API combinados, y las empresas estadounidenses tuvieron más de 600 eventos de seguridad de API. La gran cantidad de eventos de seguridad informados en normal en los Estados Unidos dio como resultado que los incidentes de API representaran una porción mucho menor del pastel: alrededor del 5 % en comparación con más del 15 % en Asia.

Cómo hacer frente a las preocupaciones de seguridad de la API

A diferencia de otros tipos de vulnerabilidades de aplicaciones, las debilidades de seguridad de la API generalmente explotan problemas de autorización, autenticación o lógica empresarial. La explotación de las API a menudo da como resultado el acceso a los datos o la capacidad de eludir una verificación de autorización, dice Cheng.

Para evitar esto, las empresas deben obtener visibilidad sobre cómo usan las API y crear un inventario completo del tráfico de API en su crimson, dice.

«Los incidentes de seguridad relacionados con API son ataques sofisticados que utilizan un token de API válido para explotar una vulnerabilidad en la lógica comercial para acceder a la capa de datos», dice Cheng. «Sin la visibilidad adecuada del esquema de API, o los cambios que se realizan en el esquema, las organizaciones a menudo no saben si una API está comprometida o qué datos se filtran a través de la API comprometida».

Los ataques de API generalmente forman el vector de acceso inicial para una campaña más grande, por lo que si bien la intrusión inicial puede parecer no crítica, el resultado ultimate podría ser un compromiso generalizado, dice Cheng.

«El abuso de API suele ser parte de una campaña más amplia que involucra fraude en línea, como la apropiación de cuentas o el raspado automático», dice. «Las organizaciones necesitan protección contra una variedad de ataques que un delincuente puede usar para abusar de la API y acceder a los datos subyacentes. Si la organización solo se enfoca en proteger el punto last de la API, está pasando por alto los ataques a la aplicación y/o la lógica comercial. .»



Enlace a la noticia primary